Toto je starší verze dokumentu!
—-
Zadání
Principy řízení bezpečnosti v organizaci, řízení rizik,
politika informační bezpečnosti,
systém řízení informační bezpečnosti,
hodnocení úrovně informační bezpečnosti.
Vypracování
Principy řízení bezpečnosti v organizaci
Bezpečnost
Vlastnost prvku (např. IS), který je na určité úrovni chráněn proti ztrátám nebo také stav ochrany (na určité úrovni) proti ztrátám.
Prevence
Detekce
Reakce
Aktiva: data, zdroje,… (s hodnotou)
Zranitelnost (systému)
Útok: realizace hrozby
Riziko: pravděpodobnost útoku (uplatnění hrozby)
Řízení rizik
= minimalizace rizik
4 fáze:
Ohodnocení rizik: analýza a vyhodnocení
Zvládání rizik: výběr a implementace opatření snižujících rizika
Akceptace rizik: rozhodování o přijatelnosti rizika informovanost o rizicích
1. Analýza a vyhodnocení rizik
Zvážit, co všechno by mělo být chráněno.
Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám.
Chybná analýza způsobí chybně navržená bezpečnostní opatření.
Častěji spíše odhad rizik, než skutečná analýza.
kvalitativní
kvalitativní
diskrétní stupnice (ne $$$)
➕ jednodušší, automatizovatelný postup
➖ méně srozumitelné výsledky
Annual Loss Expectancy (ALE)
Business Process Analysis (BPA)
CRAMM
1985 – Vláda UK – Risk Analysis and Management Method
Strukturovaný přístup ve třech fázích:
Identifikace a ocenění hodnot.
Odhad hrozeb a zranitelností hodnot.
Výběr vhodných protiopatření.
Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů.
Klasifikace útnočníků
Třída 0 (script kiddies)
Třída 1 (chytří nezasvěcení útočníci)
inteligentní útočníci bez dostatku znalosti o systému
využití cenově běžně dostupného vybavení
obvykle útoky na známé bezpečnostní slabiny
Třída 1.5
inteligentní útočníci se základními znalostmi o systému
využití cenově dostupných zařízení
např. univerzitní laboratoře
Třída 2 (zasvěcení insideři
Třída 3 (majetné organizace)
kvalifikované týmy
využití běžně nedostupného vybavení
možnost provádění detailní analýzy systému a návrh komplexních útoků
př. vládní organizace (např. NSA)
2. Zvládání rizik
Zajištění bezpečnosti
Bezpečnostní opatření: omezují rizika
Bezpečnostní mechanizmy: implementace bezpečnostních opatření
Bezpečnostní politika: specifikace způsobu uplatňování bezpečnostních opatření.
CO a JAK mají opatření dosáhnout
Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
Specifikace bezpečnostní politiky a architektury
Co a jak mají dosáhnout ochranná opatření.
Cíl – minimalizace (kontrola) rizik.
Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí
Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu.
Celková bezpečnostní politika
Určitá míra nezávislosti na použitých IT.
Citlivá data, zodpovědnosti, základ infrastruktury.
Horizont nad 5 let.
Systémová bezpečnostní politika
Další specifické politiky: provozní, personální, intranetová,…
ITSP = IT Security Policy
Zavedena obvykle v přirozeném jazyce.
Horizont cca 5-10 let.
ochrana informačních aktiv
BP systému zpracování informací
= (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci.
role v rámci ISMS:
Nejvyšší management
Výkonný ředitel
Řídící výbor (bezpečnosti informací)
Bezpečnostní architekt
CISO Chief of Information Security Officer
lokální administrátoři systémů
normy:
ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti
ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS
Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti.
Common Criteria (Společná kriteria)
Předmět hodnocení (Target of Evaluation, TOE)
Specifikace bezpečnosti (Security Target, ST)
Profil bezpečnosti (Protection Profile, PP)
➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání)
➕ usnadnění specifikace požadavků
➕ ujasnění požadavků na návrh a vývoj
➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení
➖ uživatel musí správně porozumět zárukám produktu
OWASP
= The Open Web Application Security Project
Zdroje
Nahoru